CRIL （Cyble Research and Intelligence Labs） 資安研究團隊，近期發現許多惡意攻擊組織都試圖透過開放的遠端桌面協定 （remote desktop protocol, RDP） 對受害者設備部署惡意攻擊軟體。

 當使用者透過開放、未受保護的網路，使用遠端桌面時 （將遠端桌面的 port 開啟）；惡意攻擊者可以透過網路掃描 （scanning the internet） 取得用戶的遠端桌面 port 的定位，進而利用竊得之用戶的個人資訊和弱點，進一步攻擊用戶的設備。

 目前已知諸多利用此攻擊手法對用戶資訊進行加密勒索和變更的攻擊組織，其中較為知名者為：

1. Daixin Team

2. MedusaLocker

其中，CGSI （Cyble Global Sensor Intelligence） 統計發現在近三個月內，類似惡意攻擊事件已經多達 4,783,842 起；攻擊高峰期為九月底與十一月中；攻擊者 IP 位置多來自美國與俄羅斯，其中也包含了南韓、荷蘭、印度與越南等國家。攻擊對象包含了：政府組織、製造業、電信業、教育機構與金融業 （銀行、保險與金融服務）。影響範圍由供應鏈擴大到服務的上下游廠商；經調查，攻擊者的族群共有五群，如下方說明：

 

 

各攻擊者與其攻擊手法介紹

一、Redeemer:
Redeemer 發跡於 2021 年 6 月，並受到惡意攻擊組織 Cerebrate 在資安攻擊論壇 Dread 的大力推廣；在該組織的大力推廣下，至 2022 年末的短短 1 年半間，Redeemer 已經進行了三次版本更新 （1.0, 1.5, 1.7, 2.0） ：進行了圖像介面 （GUI）、builder 介面、被攻擊者的加密檔案圖示、以及更細節的攻擊說明等。除此之外，隨著 Windows 系統的升級，惡意攻擊軟體 Redeemer 的開發者也表示，目前 Redeemer 也支持惡意攻擊在 Windows 11 的作業系統中被使用。

（1） Redeemer 首先透過攻擊程式的撰寫, 產生一個可執行的惡意攻擊程式架構。之後，攻擊者會選擇一種 RSA 的非對稱加密手法 [註1]、對應的私人密鑰檔案、負責聯絡的 E-mail 地址和加密貨幣 （XMR） 的贖金數量和是否開啟 「melt」功能。其中，一旦攻擊者決定開啟 melt 功能，在未來的攻擊過程中，惡意軟體可以任意自行解除安裝或是轉移到不同的檔案路徑 （directory） 中，以規避被發現的可能性。

（2） 在攻擊的參數被決定之後，攻擊者組織可以透過 Generate Key Pair 的選項，獲得一個 RSA 加密金鑰，嵌入其原先撰寫的攻擊架構中。在後續的攻擊中，Redeemer 會冒充系統執行檔，自我複製 （self-replicate） 到 Windows 系統中的 hidden 路徑中，透過 ShowWindow Windows API，隱藏其執行視窗 ；並建立 RedeemerMutx 的多線程 （multi-threading） 分流，以便在不同的工作流 （workflow） 中有效率地進行檔案加密。

（3） 它能夠偵測並透過 taskkill 和 net stop 的指令，停用可能干擾其檔案加密過程的所有程式。並在進行多線程加密的同時，將前一階段設定的攻擊參數傳送到受害者設備的記憶體中，並將其以 Base64 文字解密。

（4） 在執行完加密惡意程式之後，Redeemer 透過 ShellExecuteW windows API 複製並執行新的惡意程式檔。

（5） 新的惡意程式透過 Windows Event Utility （wevtuil） 指令清除可疑的活動記錄；並使用 vssadmin 和 wbadmin 移除舊的程式檔，備份和系統備份，讓使用者無法透過還原系統得到加密前的檔案，和其所有產生的附檔和可疑的活動記錄。

（6） 新的惡意程式透過設定 windows 登錄值 （Winlogon registry value），改變已加密檔案的 icon 和桌面 display。讓受害者在登入之後可以輕易察覺受到攻擊，並在點擊被加密檔案後，會獲得勒索說明文件 （ReadMe.TXT），請使用者依照指示繳付贖金。

只有在收到了 20% 的勒索贖金之後，Redeemer 才會將此金鑰公佈給受害者，供受害者對於加密文件進行解碼。

 

二、NYX
目前關鍵智慧仍未發現任何有關此勒索軟體的研究報告，目前僅知道此勒索軟體除了將被侵害設備上的文件進行加密外 （並會在所有加密的文件檔案名稱後加上@onionmail.org].NYX 的字串）；也會對資料進行備份，並以解密與防止文件泄漏為雙重勒索的條件，迫使使用者繳付贖金。受害者在設備受到攻擊之後會收到一份名為 READ_ME.txt 的檔案，其中包含了該名使用者的代號ID、攻擊者的主要與備用聯絡信箱。

 

三、Vohuk & Amelia
目前關鍵智慧仍還沒有發現任何有關此勒索軟體的研究報告，目前僅了解此勤索軟體於2022年11月首次被發現。其攻擊特徵在於一旦受害者的電腦設備遭受到檔案加密的攻擊，所有的檔案名稱會被更換為隨機的字串，並以「.Vohuk」的字樣結尾，與此同時，檔案的icon與使用者的桌面都會被更換成攻擊者指定的資訊。
 

四、BlackHunt
目前關鍵智慧仍還沒有發現任何有關此勒索軟體的研究報告。

 

以上組織皆被發現透過RDP伺服器攻擊的手法向企業或個人進行惡意資料勒索 （ransomware）。國際資安聯盟 CGSI 的研究顯示，目前最經常被利用於 RDP 伺服器攻擊的弱點編號為 CVE- 2019-0708，俗名又稱「Bluekeep」。此弱點允許攻擊者可以透過遠端伺服器在不經授權的情況中，向設備發送惡意的程式碼對於設備進行程式執行 （program execution）、資料瀏覽 （viewing）、更改 （change） 並刪除 （delete） 資料、或是自行建立一個最高權限的使用者帳號 （create new accounts with full use rights）。若此弱點被惡意利用，攻擊者可以進行跨設備的「自我複製」（wormable） ，將惡意程式在短時間內複製到相同網域的大量的設備。此弱點在2019年的11月首次被資安研究員 Kevin Beaumont 發現。

由於目前針對此類攻擊仍沒有穩定解法，僅有預防性措施，抵制RDP伺服器惡意攻擊會依賴各組織內部彈性調整的因應政策。其中，研究團隊提供的預防性措施如下：

 

1. 更新所有使用中的應用程式與服務的版本至最新，並維護配置良好且更新的防火牆/或將網路進行區隔，並加上網路安全機制。

2. 運用軟體清單上的資訊，了解資產的型號與詳細資訊。

3. 確保遠端的端口 （port） 不受到未授權/已結束分享的人員管理

4. 應定期執行滲透測試 （PT） 與弱點掃瞄 （VA） 

5. 確保組織實施適當的權限控制

6. 組織應定期向進行網路安全主題的教育訓練

7. 確保組織內部的密碼皆遵循強密碼策略

 

[註1] 公開金鑰密碼系統 （Public-key cryptosystem） 加密跟解密使用不同的金鑰 ，又稱『非對稱式加密系統』（asymmeric cryptosystem ），其特性在於此加密行為會需要兩個金鑰：公鑰（Public-key）及私鑰 （Private-key 或 Secret-key）。且公鑰加密上鎖後，無法在用公鑰解開，只能用私鑰解鎖。雖然公鑰和私鑰間具有質因數的數學運算關係，但目前僅知道只有極短的RSA金鑰才有可能被暴力破解。但到目前為止，1024bit 以上的金鑰，仍無法被任何可靠的攻擊RSA演算法破解。

 

參考資料
1. RDP Servers Hacked To Deploy Ransomware and Steal Sensitive Data, GBHackers （Dec 2022）- https://gbhackers.com/rdp-servers-hacked-to-deploy-ransomware/amp/
2. Hackers Actively Attack RDP Servers To Deploy Ransomware,cybersecuritynews （Dec 5, 2022）-
https://cybersecuritynews.com/rdp-servers-actively-targeted-by-hackers/
3. What Is Redeemer Ransomware and How Does It Spread: A Technical Analysis, Cloudsek（n.d.）-https://cloudsek.com/what-is-redeemer-ransomware-and-how-does-it-spread-a-technical-analysis/
4. 非對稱式加密演算法 - RSA （觀念篇），iT邦幫忙 （2020 Oct 18）- https://ithelp.ithome.com.tw/articles/10250721
5. Hackers Actively Attack RDP Servers To Deploy Ransomware, CyberSecurityNews （Dec 5, 2022）- https://cybersecuritynews.com/rdp-servers-actively-targeted-by-hackers/
6. Microsoft Warns of More BlueKeep RDP Attacks to Deploy CoinMiner Malware – Patch Now!!, GBHackersOnSecurity （Nov 8, 2019）- https://gbhackers.com/bluekeep-rdp-vulnerability/
7. Remote Desktop Services Remote Code Execution Vulnerability, Microsoft MSRC （May 14, 2019）-https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2019-0708